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CIRCUIT INTEGRE PERF ECTIONNE ET PROCEDE D'UTILISATiON D'UN 

TEL CIRCUIT INTEGRE 

La pr6sente invention conceme un circuit int6gr6 perfectionn6 et le 
proc6d6 d'utillsation. L'inventlon trouve son application notamment dans les 
microprocesseurs ou microcalculateurs et egalement dans les circuits a 
logiques cdbl§es n6cessitant une s6curisation. 

II est connu que les microprocesseurs ou les microcalculateurs 
executant s§quentiellement des instructions successives d'un programme 
enregistre dans une m§moire, en synchronisme avec un ou plusieurs 
signaux de cadencement references par rapport a un des signaux d'horloge 
foumis au microprocesseur ou au microcalculateur soit en interne soit en 
externa. 

II est ainsi possible de correler les differentes phases de cette 
ex6cution de programme avec les signaux d'horloge puisque {'execution 
d'une Instruction particuliere se decompose elle-meme en plusieurs etapes 
cadencies par une ou plusieurs impulsions d'horloge successives. En effet, 
dans les microprocesseurs de I'art ant6rieur. le fonctionnement est cadenc6 
r§guli6rement par les signaux d'horloge provenant en general d'un circuit 
sequenceur qui engendre les impulsions 6lectriques n6cessaires, 
notamment en dephasant les signaux par rapport a I'horloge de reference. 
En outre le s6quencement des actions doit tenir compte des temps 
n6cessaires pour acc§der aux divers registres, aux memoires et aux 
organes internes, mais aussi et surtout aux temps de propagation des 
signaux sur les bus et d travers les divers circuits logiques. D§s lors, les 
instants de d6but et de fin de chaque instruction 6tant parfaitement connus, 
il est en princIpe possible de savoir quelle est I'instruction qui s'execute i un 
moment donn6 dans I'unite de traitement du processeur puisque le 
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programme qui se deroule est constitu6 d*une suite pred6terminee 
d'instructions. 

On peut. par exemple, determiner le nombre tf impulsions d'horloge 
dSiivr^es d partir du lancement du programme, de la remise ^ z6ro de Tunitd 

5 de traitement, ou encore du temps qui s'est ecoule depuis un evenement ou 
un signal de reference externe ou interne. 

Cette possibility de pouvotr observer le derouiement d'un 
programme dans un microprocesseur ou un microcalculateur est un 
inconv6nient majeur lorsque ce microprocesseur ou microcalculateur est 

10 utilis6 dans des applications de haute securite. En effet, un individu mal 
intentionnd pourrait ainsi connaitre les etats successifs dans lesquels se 
trouve le processeur et tirer parti de ces informations pour connaitre certains 
resultats internes de traitement. 

On peut imaginer, par exemple, qu'une action donnee sur un signal 

15 exteme puisse se produire a des instants differents en fonction du r6sultat 
d'une operation securitaire determinSe. tel que le test d'une information 
confidentielle interne ou le d6chiffrement d'un message, ou encore le 
contrSle d'int6grit6 de certaines informations. Selon Tinstant consid6r6. ce 
signal exteme pourrait donner des renseignements sur le r6sultat ou sur le 

20 contenu confidentiel de Tinformation, et meme. dans le cas de calculs 
cryptographiques. sur la de secrete de chiffrement utilisee. 

Par ailleurs il est connu des microprocesseurs ou microcalculateurs 
tels que ceux commercialisms par la Societ6 SGS Thomson sous la 
reference ST16XY qui comportent un microprocesseur incorporant un 

25 g6nerateur al§atoire dont la lecture permet d'obtenir un nombre aleatoire 
utilise, par exemple pour les calculs d'encryptages ou de decryptages. 

C'est un des buts de Tinvention que de doter le circuit de moyens 
interdisant le type d'investigation dealt plus haut. et plus gen6ralement 
d'empScher les observations illicites ou non du comportement interne du 

30 circuit. 
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Ce but est atteint par le fait que le circuit ihtegre perfectionne 
possfede des moyens de decorr6lation du deroulement d'au moins une 
sequence d'instruction d'un programme avec les signaux electriques 
internes ou extemes du circuit. 

Selon une autre particularit6 les signaux electriques du circuit sont 
des signaux de cadencement, de synchronisation ou d'6tat, 

Selon une autre particularite les moyens de decorrelation 
comprennent un ou plusieurs circuits qui engendrent une succession 
d'impulsions d'horloge ou de cadencement dont la repartition est aleatoire 
dans le temps. 

Selon une autre particularite les moyens de d6correlation 
comprennent un gen6rateur aleatoire permettant une desynchronisation de 
rex§cution de la sequence de programme dans le processeur. 

Selon une autre particularite les moyens de d§corr6lation 
comprennent un circuit de calibration d'horioge qui permet d'§liminer les 
impulsions de cadencement trop courtes. 

Selon une autre particularite les moyens de decorrelation 
comprennent un systdme de gineration al§atoire d'interruption. 

Selon une autre particularite les moyens de decorrelation 
comprennent I'execution de sequences secondaires dont les instructions et 
temps d*execution sont differentes et qui sont choisies al6atoirement. 

Selon une autre particularite le temps variable du traitement 
secondaire depend d'une valeur fournie par un gen6rateur aleatoire. 

Selon une autre particularite le traitement secondaire ne modifie pas 
le contexte general de fonctionnement du programme principal afin de 
permettre le retdur e ce dernier sans avoir a retablir ce contexte. 

Selon une autre particularite le traitement secondaire retablit le 
contexte du programme principal avant de lui redonner le controle du 
processeur. 

Selon une autre particularite le programme principal peut autoriser 
ou inhiber un ou plusieurs moyens de decorrelation. 
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Selon une autre particularite il possede des moyens de dephasage 
des signaux de cadencement. de synchronisation ou d'6tat du processeur. 

Selon une autre particularity les moyens de dSphasage gSndrent un 
dephasage aleatoire des signaux de cadencement, de synchronisation ou 
5 d'etat du processeur. 

Selon une autre particularite les moyens de d6phasage al6atoires 
desynchronisent, de I'horloge exteme, le fonctionnement du processeur 
partiellement ou totalement pendant rex6cution d'un programme. 

Selon une autre particularity le g^nSrateur al6atoire utilise des 
10 compteurs reboucl^s ou non et initialises par une valeur aI6atoire. 

Selon une autre particularite la valeur d'initialisation provient d'une 
m6moire non volatile. 

Selon une autre particularite la valeur d'initialisation est modifiSe 
pendant I'execution d'un programme. 
15 Selon une autre particularity le gen^rateur aleatoire utilise un 

algorithme de type cryptographique ou une fonction de hachage initialis6s 
par la valeur d'initialisation. 

Selon une autre particularite le s^quencement des actions tient 
compte des temps n§cessaires pour acceder aux divers registres, aux 
20 memoires et aux organes internes, mais aussi et surtout des temps de 
propagation des signaux sur les bus et a travers les divers circuits logiques. 

Un autre but de Tinvention est de proposer un proc6de d'utilisation 
du circuit integr6. 

Ce but est atteint par e fait que e procedd d'utt'isation d'un circuit 
^ 25 intygre consiste : 

soit y dyclencher le syquencement d'une ou plusieurs instructions 
ou opyrations a I'aide d'une horloge a impulsion aiyatoire ; 

soit a dyclencher de fagon aiyatoire des syquences d'interruption ; 
soit a dyclencher le traitement d'une sequence aiyatoire d'instruction 
30 ou d'opyration au cours de I'exycution d'une syquence principale 
d'instruction ou d'opyration ; 
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soit a combiner au moins deux des possibilites ci-dessus. 

D'autres particularit6s et avanlages de ia pr6sente invention 
apparaitront plus clairement d la lecture de la description ci-apr6s faile en 
reference aux dessins annexes dans lesquels : 

la figure 1 repr6sente le schema de principe des circuits 
6lectroniques d'un premier mode de realisation de I'invention ; 

la figure 2 repr6sente une deuxieme variante simplifi6e de 
realisation de I'invention ; 

la figure 3A represente le schema de realisation du circuit calibreur ; 

la figure 3B repr6sente les sch6mas de sequencement logiques du 
circuit calibreur ; 

la figure 4A represente le schema des circuits logiques de 
realisation d'un circuit de dephasage ; 

la figure 4B repr6sente le schema des sequences des signaux de ce 

circuit ; 

ia figure 5 represente une troisi6me variante de realisation de 
I'invention ; 

la figure 6 repr6sente le sch§ma des circuits logiques de realisation 
d'une horloge interne ; 

la figure 7A represente le schema logique de realisation du 
gdn§rateur al^atoire ; 

la figure 7B represente le schema logique de realisation de chaque 
cellule du gdnerateur aleatoire. 

la figure 8 represente de fagon sch6matique un exemple de 
sequences du programme secondaire choisies aieatoirement. Dans la 
description on entend par miaocalculateur un circuit int6gre monolithique 
incorporant un microprocesseur avec sa memoire vive de type RAM 
associee ^ au moins une memoire non volatile programmable ou non telle 
que, par exemple. de type RAM avec alimentation de sauvegarde. ou ROM. 
ou PROM, ou EPROM, ou EEPROM ou RAM du type Flash etc.ou une 
combinaison de ces memoires. I'invention va maintenant §tre explicitee e 
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I'aide de la figure 1 dans laquelle un CPU (1) comports un gen6rateur 
al6atoire (2) qui peut fonctionner sur une horloge interne (11). De tels 
processeurs sont comme on I'a dejS dit, connus notamment par la famille de 
microcalculateurs ST16XY. Toutefois ces microcalculateurs ou 

5 microprocesseurs qui utilisent un registre ^ d§calage S entrees-sorties 
paralleles reboucle sur au moins une de ses entrees et dont le decalage est 
cadencd par une horloge Interne pour constituer le g§n§rateur aI§atoire, se 
servent de Thorloge exteme de sequencement des cycles machines du 
mlcroprocesseur, pour ex6cuter Tinstruction de lecture du contenu du 

10 registre. Uinvention permet de generer un nombre al6atoire et non pas 
pseudo al6atoire en se basant sur le fait que I'horloge interne du generateur 
aleatoire, qui a une frequence multiple de I'horloge exteme, est dephasSe 
aleatoirement par rapport a celle-ci. 

L'invention consiste a utiliser le principe d'un tel microprocesseur a 

15 generateur al6atoire en lui adjoignant un certain nombre d'6lements qui vont 
permettre au microprocesseur executant le programme principal de passer 
d*un fonctionnement parfaitement en phase et corr6l6 a Thorloge exteme de 
s6quencement d un fonctionnement decorr6l6, dans lequel au choix et selon 
le mode de r§alisation selectionne le temps d'execution d'une instnjction 

20 d§terminee ne sera plus identique, meme lorsque la meme instruction est 
executee plusieurs fois, ou bien dans lequel la dur6e d'execution d'une 
sequence d'instruction sera variable meme si la meme sequence est 
execut6e a plusieurs reprises par le programme principal, ou bien dans 
lequel la duree d'execution d*une sequence d'instruction sera variable, le 

25 temps d'ex6cution d'une meime instnjction etant variable lui meme. Ceci est 
obtenu par le circuit de la figure 1 dans lequel en plus du gen6rateur 
al6atoire (2) I'horloge interne (11) est realis§e par un oscillateur libre a 
frequence constante desynchronisee et dephas6e par rapport a I'horloge 
externe CLKE du microprocesseur ou microcalculateur. Dans I'art ant6rieur 

30 rhomme de m6tier n'envisageait pas de cadencer le fonctionnement d'un 
microcalculateur ou d'un microprocesseur avec une horloge irreguiiere. Au 
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contraire tout etait fait pour que le fonctionnement soit cadence 
r6gulierement par les signaux d'horloge provenant en general d'un circuit 
sequenceur qui engendre les impulsions electriques n6cessaires, 
notamment en d6phasant les signaux par rapport d I'horloge de r6f6rence. 
Ceci etait du notamment au fait que le s6quencement des actions doit tenir 
compte des temps necessaires pour acc6der aux divers registres, aux 
memoires et aux organes internes, mais aussi et surtout des temps de 
propagation des signaux sur les bus et S travers les divers circuits logiques. 
Dans I'invention le gen6rateur al6atoire (2) est utilise soit pour foumir une 
valeur al^atoire aux divers organes par I'intemiediaire du bus de donnee (3) 
et la charger dans les differents elements que nous decrirons ci-apr6s, soit 
pour g6nerer un signal impulsionnel de periodicite variable sur sa sortie 
(22). Dans un microprocesseur ou microcalculateur de invention les 
signaux necessaires au chargement et d I'exdcution des instructions peuvent 
done etre engendres d partir d'impulsion d'horloge repartles de fa9on 
al§atoire, mais ces impulsions doivent respecter un temps de cycle minimal 
afin que le processeur (1) ait un d6lai suffisant pour I'ex^cution de diverses 
operations. Ce signal pour servir d'horloge au microprocesseur (1) doit etre 
envoye sur un circuit calibreur (9). La sortie (95) de ce circuit calibreur est 
envoy6e sur un circuit de multipiexage (18) dont I'entree (19) de commande 
du multipiexage repoit le signal d'un ou plusieurs bits d'un registre (8) qui 
peut etre charge soit par le g6nerateur aleatoire (2). soit par une valeur 
d6temiln§e par le programme principal (5). Lorsque ce registre (8) est 
charg6 avec une valeur aleatoire, la decision de selection du signal 
d'horloge envoy6e sur le processeur est faite al6atoirement tandis que 
lorsque ce registre (8) est charge par une valeur determin6e par le 
programme principal c'est le programme principal qui va choisir si I'horloge 
de sequencement du microprocesseur sera I'horloge exteme CLKE ou une 
horloge de decorr6lation CLK2. De m§me un ou plusieurs bits du registre (8) 
sont envoyes par la liaison (82) S un circuit logtque (28) qui permet en 
fonction du ou des bits du registre (8). de vallder ou non la transmission du 
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signal d'horloge interne (11) au g6nerateur aleatoire (2). Ce g§nerateur 
al§atoire peut done fonctionner egalement sur Thorloge externa CLKE en 
recevant son signal par la liaison (26) et le circuit logique (28). Dans ce 
dernier cas les valeurs gSnSr^es seront des valeurs pseudo aleatoires. Le 

5 g6nerateur aI6atoire (2) peut fonctionner en utilisant Thorloge interne (11) 
validee ^ travers le drcuit (28) par le ou les bits du registre (8) et dans ce 
cas les valeurs gener6es seront des valeurs aleatoires. Le signal I g6n6r6 
en sortie (22) du g6n6rateur al6atoire (2) et reju par le circuit calibreur (9) 
correspond ^ un signal impulsionnel dont la p6riodicit6 varie soit 

10 aieatoirement soit de fa^on pseudo aleatoire. Le fait que cette periodicity 
varie de fafon pseudo aleatoire est peu genant car, comma on le verra par 
la suite, le circuit de calibration (9) fait intervenir un signal d'horloge interne 
(FRC) qui lui-meme va reintroduire une decorrelation. par une frequence 
diff6rente et un d§phasage par rapport au signal d'horloge exteme CLKE et 

15 par consequent par rapport au signal d'horloge pseudo aleatoire 
synchronise sur ce signal d'horloge exteme. 

Le dispositif peut comprendre Egalement un registre R2 qui est 
charge, soit par le gdnSrateur aleatoire (2) a Taide d'un nombre aleatoire. 
soit par le programme principal (5) avec une valeur d6termin§e par le 

20 programme. Ce registre R2 est utilise en totality ou en partie par un circuit 
logique (4) de declenchement d'une interruption qui revolt sur une de ses 
entries le signal d'horloge decorrel6 CLK2 provenant de la sortie (95) du 
circuit calibreur (9). La sortie du circuit (4) est envoySe S travers une porte 
(48) commandee par un ou plusieurs bits du registre (8) sur Tentree (12) 

25 d'interruption du CPU. Le ou les bits de ce registre (8) jouent le r6le de 
commande de masquage de Tinterruption que Ton trouve de fa^on ciassique 
sur certains microprocesseurs. Lorsqu'une interruption est presentee sur 
Tentr^e (12) d'interruption du processeur, le programme de traitement de 
rinterruption contenu, par exemple, dans le systeme d'exploitation ou dans 

30 le programme secondaire va introduire un temps de traitement different pour 



wo 97/33217 



9 



PCT/FR97/00406 



la sequence interrompue du programme principal. II faut bien comprendre 
qu'il existe deux phases dans le mode de fonctionnement par intemjption. 

Une premiere phase, dans laquelie le microprocesseur command^ 
par le programme dit principal autorise le fonctionnement decon^ele en 
d§masquant, par exemple. les interruptions. 

Une deuxi§me phase, dans laquelie I' intemjption . deroute 
automatiquement le fonctionnement sur le programme secondaire. Cette 
op6ration peut trds bien se faire sans intervention du programme principal. 

Enfin le dispositif de invention peut comprendre egalement un 
programme secondaire (6) qui peut, comme on le verra par la suite, generer 
un temps de duree variable qui varie a chaque fois que ce programme 
secondaire (6) est appel§ par le programme principal (5). Ainsi la variante 
de realisation representee a la figure 1 permet au programme principal (5) 
de faire 6voluer les degr6s de protection souhait6s, soit en d6clenchant le 
s6quencement d'execution d'une ou plusieurs instmctions a I'aide de 
I'horloge d6con-elee CLK2, soit en d6cidanl, au cours de I'ex^cution d'une 
sequence d'instruction, d'introduire ou non une gestion d'interruption 
declenchee al6atoirement. soit encore en decidant ou non, au cours de 
•'execution de la sequence, d'introduire un saut vers le programme 
secondaire (6) qui g§nere egalement un traitement de temps variable ou 
encore, en combinant ces diff6rentes possibilites. Ainsi ce programme 
secondaire (6) peut. dans une variante de I'invention. etre constitu6, comme 
repr§sente d la figure 8, par une pluralit6 de sequences (61, 62, 63.. .6n) qui 
seront appel^es de fa?on alSatoire et chaque sequence (0, 1. 2 ou 2""') 
mettra en oeuvre un ensemble d'instructions differentes qui entrameront un 
temps de traitement variable dans chaque branche et des comportements 
diff6rents du microprocesseur. Les sequences poun-ont etre appel6es de 
fagon al6atoire, par exemple, apres que le programme principal a effectu6 le 
saut au programme secondaire, ce dernier charge aux Stapes (64 et 65, Fig. 
8) une valeur al6atoire V provenant de la memoire (7) dans deux registres, 
par exemple. R10 et R11 du microprocesseur (1). Le programme secondaire 
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incremente cette valeur V, puis le programme cx)mmande la m6morisation de 
cette valeur incr6ment6e (V + 1) dans la m6moire NVM non volatile (7) S 
r6tape 66. Cette valeur memorisee dans la m6moire non volatile (7) est 
destin6e ^ une utilisation ult6rieure. Le programme secondaire ^ r6tape 67, 
5 pr6leve ensuite n bits de poids forts ou faibles dans RIO afin d'obtenir une 
valeur r qui permettra de designer la sequence de programme ^ exdcuter 

parmi les sequences (61, 62. 63 6n) de programme secondaire (6). 

Chaque sequence de programme secondaire produira un traitement 
diff§rent, par exemple, la sequence (0) consiste d'abord d r6tape 61 1 S 

10 transferer le contenu du registre R1 1 du microprocesseur dans un registre 
R12. A r6tape 612 le contenu de R12 est additionne avec la valeur de 
retenue (CARRY), puis ^ r6tape 613 un OU exclusif est effectu6 entre le 
contenu du registre R1 1 et le contenu du registre R12 et le r^sultat est place 
dans le registre R12. A r6tape 614 le processeur decr§mente R12. A I'^tape 

15 615 un test est effectu6 sur la valeur de R12 pour d6lemiiner si R12 est egal 
a 2§ro. Dans le cas ou R12 = 0. le processeur retourno d ('execution du 
programme principal. Dans le cas contraire, le programme secondaire (61) 
se poursuit par I'itape 616 qui effectue une rotation du contenu du registre 
R10. L'etape suivante consiste a extraire n bits de poids d6termin6 du 

20 registre R10, pour ensuite acceder a Tune des sequences determinees par 
cette valeur r dans le programme secondaire. On pourra ainsi acceder par 
exemple d la sequence (2""^)qui consiste ^ r6tape (6n1) a transferer le 
resultat de la multiplication des valeurs de RIO et de R11 dans R13 et R14. 
A r§tape (6n2) cette sequence effectue une rotation de R13 et R14. puis d 

25 ^ r6tape (6n3) le contenu de R13 est transfers dans R11. A I'etape (6n4) R11 
est d6cremente pour ensuite. a I'etape (6n5) effectuer un test sur la valeur 
R11, Ce test consiste a d6tenniner si le contenu de R11 = 3. Dans 
Taffirmative on retoume au programme principal et dans la negative le 
programme se poursuit a r6tape (6n6) par une rotation d gauche de R10. 

30 puis par rex6cution de I'instnjction (67) pour acceder a une nouvelle 
sequence de programme secondaire. 
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Dans le cas ou est envisagee une combinaison du programme 
secondaire avec une horloge d6corr6lee ou des gestions d'interruption, il est 
possible dans une telle combinaison de se contenter d'un programme 
secondaire produisant un traitement plus simple. Un tel programme 
secondaire simplifi6 peut etre constitu6 des instructions ci-apres : 

MOV B. R2 qui consiste S charger ie registre R2 dans le registre B 
microprocesseur 

LOOP DCX B qui consiste a d§crementer le registre B de la valeur A 
JNZ B LOOP qui consiste ^ faire un test sur la valeur du registre B 
et a reboucler sur Tetiquette LOOP dans le cas ou cette 
valeur est diff§rente de zero. 
Cette sequence se termine par une instruction de retour S 
instruction du programme principal qui etait imm6diatement aprds la 
demiSre instruction ex6cut6e avant le saut au programme secondaire (6). Le 
registre R2 est pr6alablement chargS par une instruction du programme 
principal (5) avant le saut au programme secondaire (6) avec une valeur 
al6atoire foumie par le g6n6rateur aleatoire (2). Ainsi Texecution du 
programme secondaire ci-dessus defini generera toujours une duree 
variable. 

Un autre mode de realisation d'un programme secondaire de duree 
variable peut consister a d6finir une zone de la memoire programme 
con-espondant au programme secondaire (6) dans laquelle une s6rie 
d'inslructions est m6morisee. De preference on choisit des instructions 
n^cessitant des nombres de cycles machines differents pour s'executer, 
comme cela est connu par exemple. avec les instructions J. CALL, RET. 
RST. PCHL, INX» par rapport ^ des instructions necessitant un nombre de 
cycles machines plus courts comme ADC, SUB, ANA, MOV etc... Dans cette 
zone m6moire. on dispose done d'un certain nombre d'instructions ayant les 
unes par rapport aux autres des durees d'execution differentes en nombre 
de cycles machines. Le programme principal (5) comporte une instruction de 
saut a une adresse indexee dont I'index con-espond au contenu du registre 
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R2 et Tadresse d la premiere adresse de la zone (6). L'ex6cution de cette 
instruction du programme principal (5) fait done adresser par le processeur 
(1) de fa?on al6atoire des instructions dont les dur6es d'ex6cution seront 
diff^rentes selon la position adress§e. De fa^on connue le g6n§rateur 

5 aleatoire (2) sera initialise au d§part par une variable. Cette variable initiate 
est contenue dans une memoire non volatile (7) et constitu§e, par exemple, 
par la derni^re valeur aleatoire g§n6r6e par le gdn^rateur (2) avant I'arrdt du 
microprocesseur (1). Ainsi le microprocesseur pilote par un programme qu'il 
va ex6cuter, va pouvoir par rinterm6diaire de ce programme d6clencher les 

10 moyens de decorrelation du sequencement de Texecution des instructions 
de ce programme par chargement. par exemple, des registres R2 ou 8 ou 
par appel des programmes secondaires. 

La figure 2 represente une autre variante de realisation simplifiee de 
{'invention dans laquelie le contenu du regislre (8) va commander le 

15 multiplexeur (18) pour d6cider si Thorloge exteme CLKE est envoyee sur le 
processeur (1) ou bien, si simplement. Thorloge decorrelee CLK2 est utilis6e 
par le CPU (1). Ce registre (8) est charg6 par le bus (30) sur execution tf une 
instruction du programme principal (5) qui aura 6te con?u pour decider a un 
moment donne de d^clencher le mode s6curitaire en generant des 

20 sequences d'executions d'instructions de duree variable. Le generateur 
aleatoire (2) est en communication par un bus (31) avec la m§moire non 
volatile (7) qui permet, par exemple. la memorisation de la dernifere valeur 
genSree pour que, lors d'une nouvelle connexion du circuit monolithique le 
generateur aleatoire soit reinitialise avec une valeur differente de ia 

25 prec6dente valeur initiate. Ce bus (31) est 6ventuellement controle par le 
processeur (1). Dans une autre variante inscription dans la m6moire (7) 
peut etre contrdtee par une logique cablee. 

Dans un autre mode de realisation, il est possible d'introduire un 
circuit (45) de dephasage variable a la sortie du circuit d'horloge comme le 

30 montre la figure 4A, ce circuit de dephasage 6tant par exemple constitud par 
un registre a d§calage D1 a D5 cadence par le signal PRC provenant du 
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Circuit (11) ou FRC recalibr6 foumi par la sortie (95) du circuit (9), et 
dephasant le signal I. foumi par la sortie (22). qui peut §tre dlvis6 par un 
facteur de ralentissement dans un diviseur (452). La sortie du circuit de 
d6phasage (45) peut 6tre realis§e i I'aide d'un muitiplexeur (451) MUX qui 

permet de prelever I'un quelconque des signaux de sortie Q1 , Q2 Q5, du 

registre d d6calage en fonclion du contenu du registre RM qui est charg6 
soit directement par le g6n§rateur aleatolre (2) soit indirectement par le 
programme principal (5) ou meme par le programme secondaire (6) d travers 
le bus (3). Dans ce cas, les fronts d'horloge S delivr^s en sortie peuvent 6lre 
retard6s ou avanc§s, par rapport d une impulsion mediane foumie par 
I'etage central du registre a decalage, d'une valeur qui depend d'un nombre 
al6atoire. retardant ou avan^ant d'autant le sequencement d'execution des 
instructions du programme en cours. 

Dans un autre mode de realisation, le g6nerateur al6atoire et le 
circuit de d6phasage peuvent 6tre mis en oeuvre en permanence pendant 
certaines p6riodes particulidrement sensibles. pendant ces phases, le 
processeur est cadence de fa?on completement aleatoire puisque les 
intervalles de temps qui s6parent chaque impulsion d'horloge sont variables 
et non pas constants comme c'est le cas dans les processeurs classiques. 

L'organisation des programmes executes par le processeur peut etre 
r6alis6e de telle maniere que le fonctionnement du processeur (1) soit pilote 
par un veritable systeme d'exploitation securitaire qui d6cide du type de 
brouillage a mettre en oeuvre en fonction du type de programme execute par 
la machine. Dans ce cas c'est le syst§me d'exploitation qui g6re comme bon 
lui semble les divers signaux provenant du g§n§rateur al6atoire, du 
calibreur, des interruptions ou des commandes du circuit de dephasage et 
du lancement des programmes principal et secondaire. II est clair que le 
programme secondaire peut etre utilise pour realiser d'autres fonctions 
qu'une simple temporisation, notamment en effectuant des traitements qui 
peuvent 6tre utiles au programme principal de fafon d tirer parti du temps 
d6di6 au programme secondaire, ces traitements pouvant 6tre constitu6s. 
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par exemple, par des preparations de calculs utilises ult^rieurement par le 
programme principal. Bien entendu. on peut fadlement gen6raliser les 
mScanismes de Tinvention lorsque le processeur fonctionne en 
multiprogrammalion. les programmes d'applicatlon pouvant alors etre 
5 consideres comme autant de programmes principaux. Le g6n§rateur 
alSatoire et le circuit de d^phasage d'horloge vus plus haut ne posent pas 
de probldmes particuliers de realisation et sont connus de Thomme de Tart 
lorsqu'ils sont utilises s6parement pour d'autres usages n'ayant aucun lien 
avec Tinvention. 

10 On peut aussi r§aliser un cinquieme mode de realisation simplifie de 

Tinvention qui n'utilise pas d'interruption. Lorsque le programme principal 
veut se prot6ger, il declenche lui-meme un programme secondaire qui 
engendre un traitement de longueur aleatoire a des instants choisis par lui, 
soit au dSbut, soit en cours de traitement de fa^n S brouiller les dtfferentes 

15 sequences. 

Les diffSrents circuits permettant la realisation de Tinvention vont 
etre maintenant explicit§s en liaison avec les autres figures. Ainsi un 
g6nerateur aleatoire repr6sent§ sur les figures 7A et 7B est constitue. par 
exemple, d'un ensemble de cellules (BO a B7) formees chacune d*une porte 

20 OU exclusif (23) a deux entrees reli6s a une bascule (24) de type D dont la 
sortie (Q) est relive a une des deux entrees de la porte OU exclusif de la 
cellule suivante. La deuxieme entree de la porte OU exclusif revolt le signal 
d'entr6e des donnees provenant du bus (3) pour permettre le chargement 
^initialisation ou pour les cellules (BO) et (B3), par exemple. un signal de 

25 rebouclage (25) provenant de la demiere cellule (B7). La sortie (22) de la 
demi§re cellule (B7) constitue 6galement la sortie qui d§livre le signal 
impulsionnel (1) ^ p^riodicite aleatoirement variable. Ce signal (I) est ensuite 
utilise dans le circuit calibreur (9) repr^sente a la figure 3A. La figure 3B 
represente le s6quencement des signaux d'entree et de sortie de ce circuit 

30 calibreur (9) de la figure 3A. Ce circuit calibreur est constitu6 de deux portes 
(90. 91) NON ET a trois entrees, recevant chacune sur une entree le signal I 
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provenant de la sortie (22) du g§nerateur aleatoire (2). Une premiere porta 
NON ET (91) re?oit ia sortie (Q2) rfune bascule (93) de type JK tandis que 
I'autre porte (90) re?oit la sortie Invers6e (NQ2) de cette bascule (93). Cette 
bascule (93) regoit sur son entr6e d'horloge un signal d'horloge FRC qui 
constitue une horloge interne au circuit. Cette horloge interne est g6n6r6e 
par exemple par un circuit repr§sent6 a la figure 6. Les entries J et K de 
cette bascule (93) sont reliees ^ la tension d'alimentation representative du 
niveau logique "1". Le signal d'horloge interne FRC est envoy6 par un circuit 
inverseur (92) sur chacune des troisiemes entrees des porte NON ET (90, 
91). La sortie de la premiere porte NON ET (90) est envoyee sur I'entr6e de 
mise a "1" de la deuxieme bascule logique (94) alors que la sortie de la 
deuxi§me porte NON ET (91) est envoyee sur I'entr6e de remise S z6ro de la 
deuxieme bascule (94). Cette deuxieme bascule (94) a son entree d'horloge 
et son entr6e (J) reliees a la tension d'alimentation representative du niveau 
"1" et I'entree (K) reli6e a la tension d'alimentation representation du niveau 
zero. La sortie (01) de cette deuxieme bascule (94) delivre le signal CLK2 
foumi par la liaison (95) au multiplexeur (18). L'horloge interne FRC delivre 
sur la liaison (111) des signaux impulsionnels periodiques ayant une largeur 
d'impulsion minimale Tm qui est d6finie par le circuit de la figure 6. Ce circuit 
(11) est constitue par exemple par une serie d'inverseurs (111 a 115), en 
I'occurrence cinq, qui ont chacun un temps de propagation determine, par 
exemple de 10 nanosecondes, ce qui pemiet d'obtenir sur la sortie FRC une 
impulsion de 50 nanosecondes. Cette sortie FRC est reboucl§e par la 
liaison (116) sur I'entree du premier inverseur (111) et, I'entree du premier 
inverseur (111) est egalement alimentee a travers une resistance (117) par 
la tension d'alimentation de 5 Crolts. La largeur d'impulsion est choisie a 50 
nanosecondes mais ii est bien evident qu'en faisant varier le nombre de 
portes inverseuses on fait varier ia valeur Tm. Cette valeur T„ va dtre 
utilis6e, comme represente a la figure 3B, par le circuit logique (9) de la 
figure 3A pour generer i partir du signal impulsionnel de p6riodidt6 
aleatoirement variable (I) un signal impulsionnel CLK2 dont les impulsions 
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de largeur variable ont une valeur minimale Tm et dont la periodicite est 
6galement variable et desynchronisee par rapport d Thorloge exteme CLKE. 
En effet I'horloge interne se mettant a fonctionner, d§s la mise sous tension 
du circuit int§gre, si la periodicit6 initiale de cette horloge est differente de la 
5 p6riodicit6 de Thorloge exteme. il n'y a aucune chance pour qu'au 
d6marrage les horloges soient synchronis6es. Les signaux de ce calibreur 
(9) poss6dent une p6riode au moins 6gale k deux fois le temps minimal Tm 
n§cessaire au processeur pour ex6cuter un cycle interne. Tous les fronts du 
signal CLK2 seront distants d'au moins la valeur Tm mais leur position et 

10 leur duree exacte seront alSatoires. 

On volt ainsi quel que soit la variante de realisation que le 
deroulement du programme principal est realise selon un sequencement 
imprevisible qui depend selon la variante soit du gen6rateur al6atoire, soit 
de rhorloge aleatoire, soit du programme secondaire, soit des interruptions 

15 aleatoires, soit rfune combinaison d'au moins deux dispositifs. Lorsque le 
programme principal execute des fonctions non sensibles sur le plan 
securitaire. il peut ainsi recourir a I'horloge externe CLKE, par exemple pour 
delivrer des r6sultats au monde ext6rieur ou encore masquer interruption 
de decorrelation de fagon a optimiser le temps de traitement. Des qu'une 

20 fonction s§curitaire est mise en oeuvre, le programme principal (5) autorise 
le fonctionnement en mode aleatoire, soit en validant Thorloge al6atoire. soit 
Tinterruption de decorr6lation (ou les deux) afin de "brouiller" les divers 
signaux de fonctionnement, notamment en desynchronisant Thorloge par 
rapport au programme principal, soit encore en faisant appel au programme 

25 secondaire. 

Pour le g6nerateur al6atoire (2), on peut, par exemple, utiliser des 
compteurs reboucles ayant des periodes differentes, ces compteurs 6tant 
initialises par une "graine" (information) stock§e en memoire non volatile (7). 
Lorsque le processeur demarre. les compteurs prennent en compte la valeur 
30 stockee comme valeur de depart. En cours de calcul, ou a la fin du calcul, la 
m§moire non volatile (7) est mise a jour avec une nouvelle valeur qui va 
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servir de graine pour initialiser les compteurs ^ la prochaine initialisation. Le 
circuit (4) de generation des interruptions peut etre congu de fa?on que la 
generation des impulsions d'interruption vues plus haut puisse, par exemple, 
se produire lorsque le nombre g6ner6 possede certaines caract6ristiques 
5 telles que regalit6 avec certaines donnees du programme. Ce circuit (4) 
peut aussi prendre la valeur d'un ou plusieurs bits d'un ou plusieurs 
compteurs. 11 est egalement possible de realiser un trds bon g6n§rateur 
aleatoire en utilisant un algorithme cryptographique (69) comme le montre la 
figure 5 ou une fonction de hachage initialisee par la "graine" (information) 

10 vue plus haut. Dans ce cas, le generateur peut etre sous la fomie d'un 
programme mettant en oeuvre Talgorithme execute par le processeur (1) et 
mettant en oeuvre par exemple, Talgorithme cryptographique en recevant 
d'une part une variable stockee dans la memoire non volatile (7). d'autre 
part une cl§ pour g6nerer un resultat stock§ dans un registre tampon (41). 

15 Ce resultat stock§ dans le registre tampon est ensuite traits par un dispositif 
decodeur (42) logiciel ou materiel pour generer soit le signal d'horloge 
d6corr6l6e CLK2. soit un signal d'interruption pour le processeur (1). On voit 
facilement que ce generateur de nombre aleatoire peut etre egalement 
utilise pour engendrer les divers nombres aleatoires vus plus haut. Une 

20 autre maniere de r6aliser un tel generateur est d'amplifier la tension 
engendree aux bomes d'une diode dite "de bruit" et de mettre en forme les 
signaux apres un filtrage passe bas pour eviter que les impulsions de bruit 
trop rapide ne perturbent le fonctionnement. 

Pour le circuit de dephasage d'horloge, il existe d'autres possibilites 

25 que celle vue plus haut. Par exemple un registre ^ d§c^Iage pilote par une 
horloge 10 fois plus 6levee que celle du processeur. Si Ton suppose que le 
registre comporte dix bascules, on dispose de dix impulsions ayant des 
phases differentes qui peuvent etre choisies par le processeur a Taide d'un 
multiplexeur d dix entrees et une sortie. La sortie du multiplexeur etant 

30 utiiisee comme pr6cedemment pour donner le signal d'horloge interne du 
processeur. 
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Un autre mode de realisation consiste a utiliser un circuit du meme 
type que le g§n6rateur al§atoire vu plus haut et de pr6lever des impulsions 
sur les differents 6tages des compteurs. Dans ce cas, le processeur est 
vraiment cadenc6 par des impulsions reparties al§atoirement dans le temps. 
5 Un autre mode de realisation consiste S utiliser les signaux du 

generateur aleatoire pour pr6lever les impulsions du registre a d6calage. De 
trds nombreuses combinaisons sont possibles pour sophistiquer les 
mecanismes, mais les principes de Tinvention restent toujours valables. 

La variante de realisation de la figure 1 est la plus complete, bien 
10 evidemment le circuit monolithique de type microprocesseur ou de type 
microcalculateur pourra incorporer seulement un ou plusieurs ou une 
combinaison quelconque des Elements repr6sentes. 

Ainsi selon une variante, le circuit monolithique peut incorporer un 
microprocesseur, le gen6rateur aleatoire, Thorloge interne (FRC) et le circuit 
15 calibreur formant i'horloge decorr^lSe. 

Dans une autre variante le circuit monolithique peut incorporer le 
microprocesseur, le generateur aleatoire. le circuit de generation 
d'interruption. 

Dans une autre variante le circuit monolithique peut incorporer le 
20 microprocesseur, le programme secondaire et les circuits d'horloge 
decorrelee et calibr^e. 

Dans une autre variante le circuit monolithique peut incorporer un 
microprocesseur, le circuit d'horloge decorr^l^e et calibr^e et le circuit 
d'interruption. 

25 Dans d'autres variantes du circuit monolithique le microprocesseur 

est remplace par un microcalculateur. 

Dans d'autres variantes du circuit int6gr§ monolithique le 

microprocesseur peut §tre remplace par une logique combinaloire 

permettant d'executer un nombre rfinstmctions limitees pour des 
30 applications specifiques. II est bien evident que dans un tel cas les memes 

mecanismes de securisation peuvent §tre appliques au circuit integr^. 
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D'autres modifications d la portee de rhomme de metier font 
egalement partie de Tesprit de rinvention. 
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REVENDICATIONS 

1. Circuit integre perfectionn6 caracteris6 en ce qu'il poss6de des 
moyens de decorrSlation du d6roulement d'au moins une sequence 

5 d'instmction d'un programme avec les signaux electriques internes ou 
extemes du circuit int6gr6. 

2. Circuit integre selon la revendication 1, caract6rise en ce que les 
signaux electriques du microprocesseur ou microcalculateur sont des 
signaux de cadencement, de synchronisation ou d'etat. 

10 3. Circuit integre selon la revendication 1, caracterise en ce que les 

moyens de decorrelation comprennent un ou plusieurs circuits qui 
engendrent une succession dMmpulsions d'horloge ou de cadencement dont 
la repartition est aleatoire dans le temps. 

4. Circuit integr6 selon la revendication 1. caract6rise en ce que les 
15 moyens de d6conr6lation comprennent un generateur aleatoire permettant 

une d6synchronisation de Texecution de la sequence de programme dans le 
processeur. 

5. Circuit int6gr6 selon la revendication 4, caracterise en ce que les 
moyens de d6corr6lation comprennent un circuit de calibration d'horloge qui 

20 permet d'6liminer les impulsions de cadencement trop courtes. 

6. Circuit integr6 selon la revendication 1 , caracterise en ce que les 
moyens de decorrelation comprennent un systeme de generation aleatoire 
d'interruption. 

7. Circuit int6gr6 selon la revendication 1. caracterise en ce que les 
25 moyens de decorrelation comprennent Texecution de sequences 

secondaires dont les instructions et temps d'execution sont differentes et qui 
sont choisies aieatoirement. 

8. Circuit integre selon la revendication 7, caracterise en ce que le 
temps variable du traitement secondaire depend d*une valeur fournie par un 

30 generateur aleatoire. 
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9. Circuit integre selon la revendication 7. caracteris§ en ce que le 
traitement secondaire ne modifie pas le contexte g6neral de fondionnement 
du programme principal afin de permettre le retour a ce dernier sans avoir ^ 
retablir ce contexte. 

10. Circuit integre selon la revendication 7, caracterise en ce que le 
traitement secondaire retabli le contexte du programme principal avant de lui 
redonner le controle du processeur. 

1 1 . Circuit int6gre selon la revendication 1 , caract6rise en ce que le 
programme principal peut autoriser ou inhiber un ou plusieurs moyens de 
d6correlation. 

12. Circuit integr§ selon la revendication 1. caracterise en ce qu'il 
possede des moyens de d6phasage des signaux de cadencement, de 
synchronisation ou d'6tat du processeur. 

13. Circuit integre selon la revendication 12. caracteris§ en ce que 
les moyens de d6phasage gen§rent un d6phasage al6atoire des signaux de 
cadencement. de synchronisation ou d'etat du processeur. 

14. Circuit int6gre selon la revendication 13, caracterise en ce que 
les moyens de dephasage al6atoires desynchronisent. de I'horloge externe. 
le fonctionnement du processeur partiellement ou totalement pendant 
rex6cution d'un programme. 

15. Circuit integre selon la revendication 4, caract6rise en ce que le 
g6n6rateur al6atoire utilise des compteurs reboucles ou non et initialises par 
une valeur al6atoire. 

16. Circuit int6gr6 selon la revendication 15. caracterise en ce que la 
valeur d'initialisation provient d'une m6moire non volatile. 

17. Circuit int6gre selonia revendication 16, caracteris6 en ce que la 
valeur d'initialisation est modifiee pendant rex6cution d'un programme. 

18. Circuit inl6gre selon la revendication 15, caracterise en ce que le 
gen6rateur aleatoire utilise un algorithme de type cryptographique ou une 
fonction de hachage initialises par la valeur d'initialisation. 
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19. Circuit integre selon la revendication 1, caract§ris§ en ce que le 
sequencement des actions tient compte des temps necessaires pour 
acceder aux divers registres. aux m§moires et aux organes internes, mais 
aussi et surtout des temps de propagation des signaux sur les bus et k 

5 travers les divers circuits logiques. 

20. Proc6de d'utilisation d*un circuit integre comprenant des moyens 
de d§correlation du d6roulement d'au moins une s6quence d'instruction d'un 
programme avec les signaux electriques internes ou extemes du circuit 
int6gre. caracterise en ce qu'il comprend les 6tapes consistant : 

10 soit ^ declencher le sequencement d'une ou plusieurs instructions 

ou operations d Taide d*une horloge a impulsion aleatoire ; 

soit a declencher de fa^on aleatoire des sequences d'interruption ; 
soit a declencher le traitement d'une sequence aleatoire 
d'instructions ou d'operations au cours de Texecution d'une sequence 
15 principale d'instructions ou d'operations ; 

soit a combiner au moins deux des possibilites ci-dessus. 

21. Circuit integr6 comportant un microprocesseur commande par au 
moins un programme et des moyens de decorrelation du sequencement de 
rex6cution des instructions de ce programme, caracterise en ce qu*une 

20 partie de ce programme permet tfautoriser, de modifier ou d'inhiber le 
fonctionnement des moyens de decorrelation. 

22. Circuit int6gre selon la revendication 21, caracterise en ce que 
les moyens de decorr6lation comportent des moyens de gen^rer un signal 
de cadencement. oli une succession rfimpulsions d*horloge dont la 

25 repartition est aleatoire dans le temps, associe, soit d des moyens de 
g6nerer aleatoirement des interruptions, soit ^ des moyens de declencher 
rex§cution rfune sequence secondaire. 

23. Circuit integre comportant un microprocesseur ou des moyens 
d'executer des instructions. caracteris§ en ce qu'il comporte des moyens de 

30 selection de Thorloge de cadencement du microprocesseur ou des moyens 
d'execution des instructions, les moyens de selection permettant de 
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selectionner. soit une horloge exteme CLKE au circuit int6gre, solt une 
horioge al^atoire CLK2 ou S. 

24. Circuit integr6 selon la revendication 23, caract6ris6 en ce que 
rhorloge aleatoire est gener6e ^ partir d'un gen§rateur aleatoire auquel est 
appliquee soit une horloge interne (FRC), soit une horloge exteme (CLKE). 
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